一种横向移动检测方法、装置、电子设备及存储介质与流程

本发明实施例涉及网络安全，特别涉及一种横向移动检测方法、装置、电子设备及存储介质。

背景技术：

1、工控网络信息安全主要是指网络系统的硬件、软件及其系统中的数据受到保护，不受偶然或恶意原因而遭到破坏、更改、泄露，系统连续可靠正常地运行，网络服务不中断。

2、横向移动指从网络上某个受感染系统移动到另一个系统的过程，是攻击方获取更多信息、扩大占领网络区域的一种手段。横向移动作为一种攻击战术，其特点是，攻击方利用在某个点非法获取的网络访问权，收集系统其他部分的信息并实施攻击活动。如果没有适当的预防措施，攻击方获取网络中某个点的访问权后，就能访问另外几个点。因此，对于横向移动的检测是网络安全防御中至关重要的一环。

3、目前，对于攻击事件中的横向移动战术并没有十分有效、可靠的检测方式。

技术实现思路

1、针对上述至少一部分不足之处，本发明实施例提供了一种横向移动检测方法、装置、电子设备及存储介质，能够通过识别口令爆破实现横向移动检测。

2、第一方面，本发明实施例提供了一种横向移动检测方法，包括如下步骤：

3、获取工控网络中待检测的设备的登录日志；

4、基于获取的所述登录日志，构建登录状态链；登录状态包括登录成功和登录失败两种；所述登录状态链由0和1两种数值构成，0表示登录失败，1表示登录成功，按照登录行为的时间顺序排列；

5、将所述登录状态链作为观测序列，通过训练好的第一隐马尔可夫模型，计算所述登录状态链出现的概率；

6、基于计算所得的概率和预设概率阈值进行判断，若计算所得的概率不超过预设概率阈值，则判断出现口令爆破行为，生成口令爆破告警，并继续执行后续步骤；

7、获取设备的前置攻击链；所述前置攻击链包括一个或多个有先后顺序的已发生攻击战术；

8、将所述前置攻击链作为观测序列，通过训练好的第二隐马尔可夫模型，确定所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率；

9、基于所述前置攻击链的长度、所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率，确定横向移动发生的告警级别，生成横向移动告警报告以上报检测结果。

10、可选地，所述基于获取的所述登录日志，构建登录状态链，包括：

11、基于获取的所述登录日志，提取各登录行为的登录状态及时间；

12、确定待构建的登录状态链的长度范围及登录行为的时间跨度；

13、基于各登录行为的登录状态及时间，构建满足所述长度范围和所述时间跨度的登录状态链。

14、可选地，所述第一隐马尔可夫模型通过如下方式进行训练：

15、获取多组样本登录状态链；所述样本登录状态链基于历史登录日志构建，由0和1两种数值构成，0表示登录失败，1表示登录成功，按照登录行为的时间顺序排列；

16、基于获取的多组样本登录状态链，通过统计分析，确定登录状态链的初始概率分布π1、状态转移分布a1和观测概率分布b1，得到第一隐马尔可夫模型λ1＝(a1,b1,π1)。

17、可选地，所述获取设备的前置攻击链，包括：

18、获取该设备已发生的攻击事件告警信息，并确定各攻击事件的时间及技术；

19、根据威胁框架及确定的所述技术，确定攻击事件的攻击战术；

20、基于攻击事件的时间及确定的所述攻击战术，构建设备的前置攻击链。

21、可选地，所述第二隐马尔可夫模型通过如下方式进行训练：

22、获取多组样本攻击链；所述样本攻击链根据历史攻击事件确定，包括一个或多个有先后顺序的攻击战术；

23、基于获取的多组样本攻击链，通过统计分析，确定攻击链的初始概率分布π2、状态转移分布a2和观测概率分布b2，得到第二隐马尔可夫模型λ2＝(a2,b2,π2)。

24、可选地，待构建的登录状态链的所述长度范围为[5,10]，登录行为的所述时间跨度不超过3天。

25、可选地，所述基于所述前置攻击链的长度、所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率，确定横向移动发生的告警级别，包括：

26、基于所述前置攻击链的长度、所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率，计算评价分数；所述评价分数score的表达式为：

27、

28、其中，a表示所述前置攻击链，length(a)表示所述前置攻击链的长度，取值范围为(0,9]，p(a)表示所述前置攻击链发生的概率，p(ab)表示所述前置攻击链和横向移动同时发生的概率，α、β和γ均表示评价参数，α+β+γ＝9，所述评价分数的取值范围是(10,100)；

29、根据所述评价分数，确定横向移动发生的告警级别；横向移动发生的告警级别与所述评价分数之间的映射关系为：评价分数score的数值小于30，告警级别为低级，评价分数score的数值不小于30且小于50，告警级别为中级，评价分数score的数值不小于50，告警级别为高级。

30、第二方面，本发明实施例还提供了一种横向移动检测装置，包括：

31、日志获取模块，用于获取工控网络中待检测的设备的登录日志；

32、状态链构建模块，用于基于获取的所述登录日志，构建登录状态链；登录状态包括登录成功和登录失败两种；所述登录状态链由0和1两种数值构成，0表示登录失败，1表示登录成功，按照登录行为的时间顺序排列；

33、第一概率计算模块，用于将所述登录状态链作为观测序列，通过训练好的第一隐马尔可夫模型，计算所述登录状态链出现的概率；

34、第一告警模块，用于基于计算所得的概率和预设概率阈值进行判断，若计算所得的概率不超过预设概率阈值，则判断出现口令爆破行为，生成口令爆破告警，并调用前置战术获取模块，否则调用日志获取模块；

35、前置战术获取模块，用于获取设备的前置攻击链；所述前置攻击链包括一个或多个有先后顺序的已发生攻击战术；

36、第二概率计算模块，用于将所述前置攻击链作为观测序列，通过训练好的第二隐马尔可夫模型，确定所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率；

37、第二告警模块，用于基于所述前置攻击链的长度、所述前置攻击链发生的概率以及所述前置攻击链和横向移动同时发生的概率，确定横向移动发生的告警级别，生成横向移动告警报告以上报检测结果。

38、第三方面，本发明实施例还提供了一种电子设备，包括存储器和处理器，所述存储器中存储有计算机程序，所述处理器执行所述计算机程序时，实现本说明书任一实施例所述的横向移动检测方法。

39、第四方面，本发明实施例还提供了一种计算机可读存储介质，其上存储有计算机程序，当所述计算机程序在计算机中执行时，令计算机执行本说明书任一实施例所述的横向移动检测方法。

40、本发明实施例提供了一种横向移动检测方法、装置、电子设备及存储介质，本发明基于登录日志构建登录状态链，利用隐马尔可夫模型计算该登录状态链出现的概率，根据概率识别口令爆破行为是否发生，作为横向移动的初步检测结果，对慢速口令爆破也能有较佳的识别效果；在识别出口令爆破行为后，结合该设备的前置攻击链评估发生横向移动的可能性，综合了前置攻击战术信息来提升横向移动检测的可靠性，能够实现自动化的横向移动检测，且准确度较高。